Peretas Android dan konsultan keamanan profesional Dan Rosenberg (Anda mungkin mengenalnya sebagai djrbliss dari Internets) telah menyelesaikan studinya sendiri tentang Carrier IQ, dan menemukan beberapa hasil menarik. Semua laporan tentang mencatat penekanan tombol dan memata-matai pesan SMS tampaknya telah disalahkan pada pihak yang salah, karena penelitiannya menunjukkan bahwa Carrier IQ secara tertulis hanya dapat menangkap data yang dikirim oleh operator tersebut (dikenal sebagai metrik), dan bahkan kemudian masih harus berkonsultasi dengan profil (anggap itu sebagai halaman pengaturan untuk aplikasi apa pun) bahwa operator telah memiliki CIQ menulis khusus untuk instalasi mereka. Dengan kata-katanya sendiri:
Internet yang terhormat, CarrierIQ melakukan banyak hal buruk. Ini merupakan risiko potensial terhadap privasi pengguna, dan pengguna harus diberi kemampuan untuk tidak menggunakannya.
Tetapi orang-orang perlu menyadari bahwa ada perbedaan besar antara peristiwa perekaman seperti penekanan tombol dan URL HTTPS ke buffer debugging (yang cukup buruk dengan sendirinya), dan sebenarnya mengumpulkan, menyimpan, dan mentransmisikan data ini ke operator (yang tidak terjadi). Setelah rekayasa terbalik CarrierIQ sendiri, saya tidak melihat bukti bahwa mereka mengumpulkan apa pun lebih dari apa yang telah mereka nyatakan: data metrik anonim. Ada perbedaan besar antara "lihat, itu melakukan sesuatu ketika saya menekan tombol" dan "itu mengirim semua penekanan tombol saya ke operator!". Berdasarkan apa yang saya lihat, tidak ada kode di CarrierIQ yang benar-benar mencatat penekanan tombol untuk tujuan pengumpulan data. Tentu saja, fakta bahwa ada kaitan dalam peristiwa ini menunjukkan bahwa versi masa depan dapat menyalahgunakan jenis fungsi ini, dan CIQ harus dimintai pertanggungjawaban dan berada di bawah pengawasan ketat sehingga invasi privasi jenis ini tidak terjadi. Tetapi semua kebisingan terbaru tentang ini sebagian besar tidak berdasar.
Ada banyak alasan untuk kecewa tentang CIQ, tapi tolong jangan langsung mengambil kesimpulan berdasarkan bukti yang tidak lengkap.
Salam,
Dan Rosenberg
Jadi bagaimana dengan semua hal yang kita lihat di video Trevor Eckhart tentang EVO yang sedang beraksi? Jelas ada di sana, jadi ada apa dengan semua itu? Kami bukan peneliti keamanan, profesional atau lainnya, tetapi kami adalah kutu buku yang membaca tentang eksploitasi dan keamanan setiap hari. Yang terbaik yang dapat kami pikirkan adalah bahwa HTC telah mengekspos peristiwa-peristiwa tersebut ke log sambil mengirimkannya sebagai data metrik anonim ke aplikasi Carrier IQ. Masih belum ada bukti, dan tidak pernah ada, bahwa semua data itu dikirim ke mana saja.
Hal terbesar yang bisa diambil dari berita ini adalah bahwa sementara Carrier IQ menakutkan, dan banyak dari kita menganggapnya jahat, mereka hanya menyediakan layanan untuk mengumpulkan data yang disediakan oleh operator dan OEM. Ini perlu dibuat lebih transparan, karena itu tidak akan pernah pergi - jika Anda tidak suka tidak menggunakan jaringan kami, tidak ada yang memegang pistol di kepala Anda kemungkinan sikap operator pada subjek, dan dalam cara mereka benar. Pilihan kita dalam masalah ini adalah untuk tidak menghabiskan uang kita dengan mereka, dan surga tahu aku mengerti betapa tidak populernya ide itu secara langsung. Tetapi banyak hal yang semakin terlihat seperti pembawa dan produsen perlu berbagi sedikit kesalahan di sini, dan seluruh kekacauan ini adalah cara mudah untuk mengumpulkan data yang telah mereka kumpulkan.
Ketika kita selesai di sini, kita bisa mulai melihat bagaimana perusahaan yang bergegas maju berteriak "Kami tidak menggunakan Carrier IQ di ponsel kami" mengumpulkan data yang sama dengan sesuatu selain Carrier IQ, sehingga kami dapat yakin bahwa perubahan dibuat melintasi papan versus menyalibkan perusahaan kecil di Silicon Valley.
Sumber: Vulnfactory; Pastebin
